连接 ClickHouse
本页介绍在 BYOC 环境中连接 ClickHouse 服务的多种方式。可以根据安全性和网络需求,在公网负载均衡器、私有负载均衡器或 PrivateLink/Private Service Connect 终端节点之间进行选择。
公共负载均衡器
公共负载均衡器为您的 ClickHouse 服务提供公网访问入口。在使用由 ClickHouse 管理的专用 VPC 时,这是默认配置。
概览
- 访问:可从公网访问
- 使用场景:适用于需要从不同位置或网络进行连接的应用和用户
- 安全性:通过 TLS 加密和基于 IP 的过滤进行防护(推荐)
通过公共负载均衡器连接
要使用公共端点连接到您的 ClickHouse 服务:
- 从 ClickHouse Cloud 控制台中获取您的服务端点。该端点显示在服务的 "Connect" 部分。
例如:
IP 过滤
在使用公共负载均衡器时,强烈建议启用 IP 过滤(IP Access List),以将访问限制在已授权的 IP 地址或 CIDR 范围内。
有关 IP 过滤的详细信息,请参阅 IP 访问列表文档。
私有负载均衡器
私有负载均衡器为您的 ClickHouse 服务提供内网访问,仅能从已连接网络(例如对等 VPC)内部访问。在使用客户自管的 VPC 时,这是默认配置。
概览
- 访问:仅能从私有网络基础设施内部访问
- 使用场景:适用于运行在同一云环境中或通过 VPC 对等连接的应用程序
- 安全性:流量始终留在私有网络内部,不暴露于公共互联网
通过私有负载均衡器连接
要使用私有端点进行连接:
- 启用私有负载均衡器(如果尚未启用)。如果需要为你的部署启用私有负载均衡器,请联系 ClickHouse 支持团队。
- 确保网络连通性:
- 对于 VPC 对等连接:完成 VPC 对等连接设置(参见 Private Networking Setup)
- 对于其他私有网络:确保已配置路由以访问 BYOC VPC
- 获取你的私有端点:
私有端点可以在 ClickHouse Cloud 控制台中你的服务的 “Connect” 部分找到。私有端点与公共端点的格式相同,但在服务 ID 部分添加-private后缀。例如:- 公共端点:
sb9jmrq2ne.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com - 私有端点:
sb9jmrq2ne-private.asf3kcggao.ap-southeast-1.aws.clickhouse-byoc.com
- 公共端点:
IP 过滤
尽管私有负载均衡器只允许来自内部网络的访问,您仍然可以配置 IP 过滤,以更精细地控制私有网络中哪些源可以连接。私有负载均衡器的 IP 过滤使用与公共负载均衡器相同的配置机制:定义允许的 IP 地址或 CIDR 范围,ClickHouse Cloud 会将这些规则正确应用到每种端点类型。平台会自动区分公共和私有 CIDR 范围,并将它们分配给相应的负载均衡端点。请参阅 IP 访问列表文档。
安全组配置
对于 AWS 上的部署,私有负载均衡器的安全组用于控制哪些网络可以访问该端点。默认情况下,只允许来自 BYOC VPC 内部的流量。
有关详细信息,请参阅 Private Load Balancer Security Group 配置。
PrivateLink 或 Private Service Connect
AWS PrivateLink 和 GCP Private Service Connect 提供了最安全的连接选项,使您无需使用 VPC 对等连接或 Internet 网关,即可通过私有网络访问 ClickHouse 服务。
概览
- 访问:通过云服务商提供的托管服务实现私有连接
- 网络隔离:流量不会经过公共互联网
- 使用场景:需要最高级别安全性和网络隔离的企业级部署
- 优势:
- 无需 VPC 对等连接
- 网络架构更加简化
- 提升安全性和合规能力
通过 PrivateLink/Private Service Connect 进行连接
完成 PrivateLink 或 Private Service Connect 的设置(参见 Private Networking Setup)。配置完成后,您可以使用特定于 PrivateLink 的 endpoint 格式连接到 ClickHouse 服务。PrivateLink endpoint 包含一个 vpce 子域名,用于表明其通过 VPC endpoint 进行路由。您在 VPC 中的 DNS 解析会自动将流量路由到该 PrivateLink endpoint。
PrivateLink endpoint 的格式与公共 endpoint 类似,但在服务子域和 BYOC 基础设施子域之间增加了一个 vpce 子域名。例如:
- 公共 endpoint:
h5ju65kv87.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com - PrivateLink endpoint:
h5ju65kv87.vpce.mhp0y4dmph.us-west-2.aws.clickhouse-byoc.com
Endpoint ID 允许列表
要使用 PrivateLink 或 Private Service Connect,必须在每个 ClickHouse 服务中显式允许客户端连接的 Endpoint ID。请联系 ClickHouse Support,并提供您的 Endpoint ID,以便将其添加到服务允许列表中。
有关详细的设置步骤,请参阅 私有网络设置指南。
选择合适的连接方式
| 连接方式 | 安全等级 | 网络要求 | 使用场景 |
|---|---|---|---|
| 公共负载均衡器(Public Load Balancer) | 中(配合 IP 过滤) | 需要公网访问 | 来自不同位置的应用或用户 |
| 私有负载均衡器(Private Load Balancer) | 高 | VPC 对等连接或私有网络 | 位于同一云环境中的应用 |
| PrivateLink/Private Service Connect | 最高 | 云服务商托管服务 | 需要最高隔离级别的企业级部署 |
排查连接问题
如果遇到连接问题:
- 验证端点可访问性:确认使用的端点类型正确(公网 vs. 私网)
- 检查 IP 过滤规则:对于公网负载均衡器,确认您的 IP 地址在允许列表中
- 验证网络连通性:对于私网连接,确保 VPC 对等连接或 PrivateLink 配置正确
- 检查安全组:对于私网负载均衡器,确认安全组规则允许来自源网络的流量
- 检查安全组:对于 PrivateLink 或 Private Service Connect,确认端点 ID 已添加到 ClickHouse 服务的允许列表中
- 检查身份验证:确保使用的是正确的凭证(用户名和密码)
- 联系支持团队:如果问题仍然存在,请联系 ClickHouse 支持
